„CherryBlos Mobile“ kenkėjiška programa slepiasi netikrose „Google Play“ programose

Tyrėjai paskelbė įspėjimą dėl dviejų kenkėjiškų programų kampanijų „CherryBlos“ ir „FakeTrade“, skirtų „Android“ naudotojams nukreipti už kriptovaliutų vagystes ir kitus finansiškai motyvuotus sukčiavimus. Šių kampanijų kibernetiniai nusikaltėliai platino kenkėjiškas programas per netikras „Android“ programas sistemoje „Google Play“, socialinės žiniasklaidos platformas ir sukčiavimo svetaines.

„Trend Micro“ neseniai paskelbtoje ataskaitoje atskleidė, kad jos tyrėjai neseniai atrado abi kenkėjiškų programų padermes ir pastebėjo, kad jos naudoja tą pačią tinklo infrastruktūrą ir programų sertifikatus. Tai rodo, kad už abi kampanijas greičiausiai atsakingas tas pats grėsmės veikėjas.

„CherryBlos“ išsiskiria tuo, kad gali naudoti optinį simbolių atpažinimą (OCR), kad būtų galima nuskaityti mnemonines frazes vaizduose, esančiuose pažeistuose įrenginiuose, ir perduoti šiuos duomenis į savo komandų ir valdymo serverį (C2). Šios mnemoninės frazės naudojamos kriptovaliutoje, siekiant palengvinti kriptovaliutos atkūrimą arba atkūrimą. Panašu, kad šios kenkėjiškos programos grėsmės veikėjas taikosi ne į konkretų regioną, o į aukas visame pasaulyje. Jie pakeičia išteklių eilutes ir įkelia šias kenkėjiškas programas skirtinguose „Google Play“ regionuose, įskaitant Malaiziją, Vietnamą, Filipinus, Indoneziją, Ugandą ir Meksiką.

„CherryBlos“ eina po kriptovaliutų piniginių

„CherryBlos“ kampanijoje pagrindinis dėmesys skiriamas su kriptovaliutų pinigine susijusių kredencialų vagystei ir aukos piniginės adreso keitimui išimant pinigus. Siekdamas reklamuoti netikras „Android“ programas, kuriose yra kenkėjiškų programų, operatorius skelbimams rodyti naudoja tokias platformas kaip „Telegram“, „TikTok“ ir X (anksčiau vadintas „Twitter“). Šie skelbimai paprastai nukreipia naudotojus į sukčiavimo svetaines, kuriose talpinamos kenkėjiškos programos. Kai kurios nustatytos netikros „Android“ programos, kuriose yra „CherryBlos“, yra GPTalk, Happy Miner, Robot99 ir SynthNet.

Panašiai kaip ir kiti „Android“ bankininkystės Trojos arkliai, „CherryBlos“, kad veiktų, reikia pritaikymo neįgaliesiems leidimų. Šie leidimai skirti pagerinti naudotojų su negalia patogumą, įgalinant tokias funkcijas kaip ekrano turinio skaitymas garsiai, automatizuojant užduotis ir suteikiant alternatyvius būdus sąveikauti su įrenginiu. Kai vartotojas atidaro programą, kurioje yra „CherryBlos“, iššokantis langas ragina įgalinti pritaikymo neįgaliesiems leidimus.

Įrenginyje įdiegus „CherryBlos“, jis nuskaito du konfigūracijos failus iš savo C2 ir diegia įvairius metodus, kad išliktų ir išvengtų apsaugos nuo kenkėjiškų programų valdymo. Kenkėjiškos programos išlikimo mechanizmai apima automatinį leidimo užklausų suteikimą ir vartotojų nukreipimą į pagrindinį ekraną, kai jie bando pasiekti programos nustatymus.

„FakeTrade“ kampanijoje grėsmės veikėjas naudojo mažiausiai 31 netikrą „Android“ programą, kad platintų kenkėjišką programą. Daugelis šių programų turėjo su apsipirkimu susijusių temų ir teigė, kad vartotojai galėjo uždirbti pinigų atlikdami užduotis arba įsigydami papildomų kreditų. Tačiau vartotojai, kuriems tai patiko, vėliau negalėjo atsiimti savo uždarbio. Nors 2021 m. ir 2022 m. pirmuosius tris ketvirčius „Google“ pašalino visas su „FakeTrade“ kampanija susijusias netikras programas iš „Play Store“, kenkėjiška programa vis dar kelia didelę grėsmę „Android“ naudotojams. Kibernetiniai nusikaltėliai naudojo pažangias vengimo technologijas, tokias kaip programinės įrangos paketavimas, užmaskavimas ir „Android“ pritaikymo neįgaliesiems paslaugos išnaudojimas.

Apskritai, „CherryBlos“ ir „FakeTrade“ kampanijos pabrėžė nuolatinio budrumo poreikį naudojant „Android“ įrenginius. Vartotojai turėtų būti atsargūs atsisiųsdami programas ir būti atsargiems dėl viliojančių pasiūlymų, kurie atrodo per daug gerai, kad būtų tiesa. Reguliarus saugos programinės įrangos atnaujinimas ir žinant apie sukčiavimo bandymus gali padėti apsisaugoti nuo tokių kenkėjiškų kampanijų.